前面的文章介紹了如何進行權(quán)限控制,即訪問控制器或者方法的時候,要求當(dāng)前用戶必須具備特定的權(quán)限,但是如何在程序中進行權(quán)限的分配呢?下面就介紹下如何利用Microsoft.AspNetCore.Identity.EntityFrameworkCore框架進行權(quán)限分配。
在介紹分配方法之前,我們必須理解權(quán)限關(guān)系,這里面涉及到三個對象:用戶,角色,權(quán)限,權(quán)限分配到角色,角色再分配到用戶,當(dāng)某個用戶屬于某個角色后,這個用戶就具有了角色所包含的權(quán)限列表,比如現(xiàn)在有一個信息管理員角色,這個角色包含了信息刪除權(quán)限,當(dāng)張三這個用戶具有信息管理員角色后,張三就具備了信息刪除的權(quán)限。在某些特殊場景下,權(quán)限也可以直接分配到用戶,也就是說可以直接把某些特定的權(quán)限,繞過角色,直接分配給用戶。Microsoft.AspNetCore.Identity.EntityFrameworkCore框架中都提供了這樣的支持。
先把框架中主要的業(yè)務(wù)對象類介紹一下:
IdentityUser:表示一個用戶信息
IdentityRole:表示一個角色信息
IdentityRoleClaim<TKey>:表示角色具有的權(quán)限
IdentityUserClaim<TKey>:表示用戶具有的權(quán)限
IdentityUserRole<TKey>:表示用戶角色關(guān)系
基本概念理解后,下面我們就來看一下如何進行權(quán)限分配。
1,分配權(quán)限到角色:Microsoft.AspNetCore.Identity.EntityFrameworkCore中提供了RoleManager類,類中提供了把權(quán)限分配到角色的方法:
Task<IdentityResult> AddClaimAsync(TRole role, Claim claim)
第一個參數(shù)表示對應(yīng)的角色對象,第二個參數(shù)表示一個權(quán)限信息
2,分配權(quán)限到用戶:Microsoft.AspNetCore.Identity.EntityFrameworkCore中提供了UserManager類,類中提供了把權(quán)限分配到用戶的方法:
Task<IdentityResult> AddClaimAsync(TUser user, Claim claim)
第一個參數(shù)表示對應(yīng)的用戶對象,第二個參數(shù)表示一個權(quán)限信息
3,分配用戶到角色:用到的同樣是UserManager類,使用的方法:
AddToRoleAsync(TUser user, string role)
第一個參數(shù)表示的是用戶對象,第二個是角色的名稱
4,獲取角色當(dāng)前具有的權(quán)限列表:
Task<IList<Claim>> RoleManager.GetClaimsAsync(TRole role)
5,獲取用戶當(dāng)前具有的權(quán)限列表:
Task<IList<Claim>> UserManager.GetClaimsAsync(TUser user)
通過這樣的方式就可以完成權(quán)限分配全過程,再結(jié)合前面的權(quán)限控制方法,系統(tǒng)就實現(xiàn)了完成的權(quán)限控制邏輯。
那現(xiàn)在的問題來了,權(quán)限列表從什么地方來?一般來說,一個業(yè)務(wù)系統(tǒng)功能確定后,對應(yīng)的權(quán)限列表也自然就確定了,再實現(xiàn)分配權(quán)限到角色,分配權(quán)限到用戶的功能時,只需要在頁面上把所有的權(quán)限列出來進行選擇即可,效果圖如下:
把選擇的數(shù)據(jù)調(diào)用對應(yīng)的方法保存即可。
這個問題解決了,但是新的問題又來了。如果說一個業(yè)務(wù)功能點特別多,自然會導(dǎo)致權(quán)限也會很多,如果完全通過手工的方式寫到頁面上,那自然工作量會很大很大,再者業(yè)務(wù)系統(tǒng)可能會不斷地變化,這個時候也會去不斷地修改權(quán)限分配頁面,這自然不是一個好的方法,下面我給大家說一個我想的一個方法,不一定是最好的,但是能省很大的事。
首秀我們需要解決的問題是,如何快速生成這個權(quán)限配置列表。
思路就是改造AuthorizeAttribute,在這個特性基礎(chǔ)上增加權(quán)限描述信息,用權(quán)限描述信息作為Policy。下面直接上代碼:
[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true, Inherited =true)] //類名稱可以改,因為我把系統(tǒng)操作當(dāng)作資源來管理 public class ResourceAttribute:AuthorizeAttribute { private string _resouceName; private string _action; public ResourceAttribute(string name) { if (string.IsNullOrEmpty(name)) { throw new ArgumentNullException(nameof(name)); } _resouceName = name; //把資源名稱設(shè)置成Policy名稱 Policy = _resouceName; } public string GetResource() { return _resouceName; } public string Action { get { return _action; } set { _action = value; if (!string.IsNullOrEmpty(value)) { //把資源名稱跟操作名稱組裝成Policy Policy = _resouceName + "-" + value; } } } }類已經(jīng)定義好了,那我們就看看如何使用,因為是特性定義,所以可以在控制器類或者方法上按照下面結(jié)構(gòu)使用:
[Resource("組織架構(gòu)", Action = "添加部門")]
到這里基礎(chǔ)工作已經(jīng)做完,下面還有兩個問題需要解決:
1,Policy現(xiàn)在只是配置了名稱,但是具體驗證規(guī)則沒有定義
2,如何獲取所有的權(quán)限列表
先來看第一個問題,前面的文章介紹了,Policy需要提前在startup里通過AddAuthorization進行配置,但是現(xiàn)在我們并沒有做這樣的步驟,所以目前權(quán)限還不會起作用。框架在權(quán)限驗證的時候,會依賴一個IAuthorizationPolicyProvider來根據(jù)Policy名稱獲取具體的規(guī)則,自然我們會想到自定義一個IAuthorizationPolicyProvider實現(xiàn),代碼如下:
public class ResourceAuthorizationPolicyProvider : IAuthorizationPolicyProvider { private AuthorizationOptions _options; public ResourceAuthorizationPolicyProvider(IOptions<authorizationoptions> options) { if (options == null) { throw new ArgumentNullException(nameof(options)); } _options = options.Value; } public Task<authorizationpolicy> GetDefaultPolicyAsync() { return Task.FromResult(_options.DefaultPolicy); } public Task<authorizationpolicy> GetPolicyAsync(string policyName) { AuthorizationPolicy policy = _options.GetPolicy(policyName); //因為我們policy的名稱其實就是對應(yīng)的權(quán)限名稱,所以可以用下列邏輯返回需要的驗證規(guī)則 if (policy == null) { string[] resourceValues = policyName.Split(new char[] { '-' }, StringSplitOptions.None); if (resourceValues.Length == 1) { _options.AddPolicy(policyName, builder => { builder.AddRequirements(new ClaimsAuthorizationRequirement(resourceValues[0], null)); }); } else { _options.AddPolicy(policyName, builder => { builder.AddRequirements(new ClaimsAuthorizationRequirement(resourceValues[0], new string[] { resourceValues[1] })); }); } } return Task.FromResult(_options.GetPolicy(policyName)); } }</authorizationpolicy></authorizationpolicy></authorizationoptions>實現(xiàn)了IAuthorizationPolicyProvider,我們就需要在startup.cs的ConfigureServices(IServiceCollection services)方法中進行注冊,操作如下:
再來看第二個問題,我們已經(jīng)在控制器或者方法上定義了權(quán)限信息,關(guān)鍵是我們?nèi)绾螐倪@些特性里獲取到權(quán)限列表,將來用于權(quán)限分配的時候使用。在asp.net core mvc中提供了一個類解析機制,IApplicationModelProvider,這個依賴信息比較多,這里就不過多介紹,后續(xù)我會單獨開一個系列,介紹asp.net core mvc的內(nèi)部機制。
直接上代碼
public class ResourceApplicationModelProvider : IApplicationModelProvider { private readonly IAuthorizationPolicyProvider _policyProvider; public ResourceApplicationModelProvider(IAuthorizationPolicyProvider policyProvider) { _policyProvider = policyProvider; } public void OnProvidersExecuted(ApplicationModelProviderContext context) { } public void OnProvidersExecuting(ApplicationModelProviderContext context) { if (context == null) { throw new ArgumentNullException(nameof(context)); } List<resourceattribute> attributeData = new List<resourceattribute>(); //循環(huán)獲取所有的控制器 foreach (var controllerModel in context.Result.Controllers) { //得到ResourceAttribute var resourceData = controllerModel.Attributes.OfType<resourceattribute>().ToArray(); if (resourceData.Length > 0) { attributeData.AddRange(resourceData); } //循環(huán)控制器方法 foreach (var actionModel in controllerModel.Actions) { //得到方法的ResourceAttribute var actionResourceData = actionModel.Attributes.OfType<resourceattribute>().ToArray(); if (actionResourceData.Length > 0) { attributeData.AddRange(actionResourceData); } } } //把所有的resourceattribute的信息寫到一個全局的resourcedata中,resourcedata就可以在其他地方進行使用,resourcedata定義后面補充 foreach (var item in attributeData) { ResourceData.AddResource(item.GetResource(), item.Action); } } public int Order { get { return -1000 + 11; } } }</resourceattribute></resourceattribute></resourceattribute></resourceattribute>resourcedata定義如下
public class ResourceData { static ResourceData() { Resources = new Dictionary<string, List<string>>(); } public static void AddResource(string name) { AddResource(name, ""); } public static void AddResource(string name,string action) { if (string.IsNullOrEmpty(name)) { return; } if (!Resources.ContainsKey(name)) { Resources.Add(name, new List<string>()); } if (!string.IsNullOrEmpty(action) && !Resources[name].Contains(action)) { Resources[name].Add(action); } } public static Dictionary<string, List<string>> Resources { get; set; } }然后在startup中注冊我們剛剛定義的IApplicationModelProvider:
然后在權(quán)限分配頁面通過ResourceData.Resources就獲取到了所有的權(quán)限信息,然后通過循環(huán)的方式直接顯示到頁面上即可。
終于寫完了,哈哈~~
新聞熱點
疑難解答
圖片精選
